Servlet安全性(2)----验证方法

最新推荐文章于 2021-12-03 07:00:00 发布
最新推荐文章于 2021-12-03 07:00:00 发布
阅读量539 收藏
点赞数
分类专栏: servlet 文章标签: servlet 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35737303/article/details/77072798
版权 
    了解了如何对一个资源集合强加安全约束后(上一个博客),还应该知道如何对访问的用户进行验证。对于声明式保护的资源,可以在部署描述符中使用security-constraint元素,通过HTTP1.1提供的解决方案实现验证:基本访问验证和摘要访问验证。另外,也可以使用基于表单的访问验证。

基本访问验证

基本验证是一种接受用户名和密码的HTTP验证。在基本访问验证中,如果访问收到保护的资源,将会被服务器拒绝,并返回一个401(未授权)响应。该响应包含一个HTTP-Authenticate标头,其中至少包含一个适用于被请求资源的角色,然后,浏览器屏幕上会显示一个登陆对话框,用于输入用户名和密码。这里使用Base64算法(弱算法,很容易被破解)编码,将用户名和密码结合起来的字符串发送到服务器。登陆成功后,服务器就会发出请求的资源。


     <servlet>
        <servlet-name>Servlet1</servlet-name>
        <servlet-class>security.Servlet1</servlet-class>
    </servlet>  
    <servlet-mapping>
        <servlet-name>Servlet1</servlet-name>
        <url-pattern>/Servlet1</url-pattern>
    </servlet-mapping>

    <security-constraint>
        <web-resource-collection>
            <web-resource-name>JSP page</web-resource-name>
            <url-pattern>*.jsp</url-pattern>
        </web-resource-collection>
        <!-- 必须有auth-constraint元素,否则这个资源将得不到保护 -->
        <auth-constraint/>
    </security-constraint>

    <security-constraint>
        <web-resource-collection>
            <web-resource-name>Servlet1</web-resource-name>
            <url-pattern>/Servlet1</url-pattern>
        </web-resource-collection>
        <auth-constraint>
            <role-name>member</role-name>
            <role-name>manager</role-name>
        </auth-constraint>
    </security-constraint>

    <login-config>
        <auth-method>BASIC</auth-method>
        <realm-name>Members only</realm-name>
    </login-config>
    该部署描述符中最重要的额就是login-config元素。它的两个子元素:auth-method ,使用基本访问验证时,它的值必须是BASIC并全部大写;realm-name,只要一个名称,用于显示在浏览器的登陆对话中。

Servlet1类:

public class Servlet1 extends HttpServlet{

    private static final long serialVersionUID = 123456L;

    @Override
    protected void doGet(HttpServletRequest request, HttpServletResponse response)
            throws ServletException, IOException {
        RequestDispatcher dispatcher = request.getRequestDispatcher("jsp/image.jsp");
        dispatcher.forward(request, response);
    }
}

现在访问Servlet1来访问它里面的受限制资源
这里写图片描述
由于映射到Servlet1的auth-contraint元素指定了manager和member两个角色(conf/tomcat-users.xml里声明)。所以现在通过在conf/tomcat-users.xml里定义的用户都能登陆。

摘要访问验证

摘要验证也是一种HTTP验证。它使用MD5算法创建一个散列(hash),其中结合了用户名,realm,密码,将这个散列发生到服务器。该验证方式旨在取代基本验证,因为它提供了更安全的环境。
部署:

<login-config>
        <auth-method>DIGEST</auth-method>
        <realm-name>Digest authentication</realm-name>
    </login-config>

访问验证:

基于表单的验证

前两个验证都不允许使用定制的登陆表单。我们可以使用基于表单的验证方法使用定制的表单。由于它传输的值没有进行加密,因此这个应该和SSL结合起来使用。
使用这个验证方法时,我们创建一个login页面也一个error界面。部署描述符中的auth-method元素值必须设为FORM,另外login-config元素还应该有一个form-login-config元素,带有两个子元素:form-login-page;form-error-page。
部署描述符:

显示界面必须以’/’开头

<login-config>
        <auth-method>FORM</auth-method>
        <form-login-config>
            <form-login-page>/login.html</form-login-page>
            <form-error-page>/error.html</form-error-page>
        </form-login-config>
    </login-config>

login.html和error.html

<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>Login</title>
</head>
<body>
    <h1>Login Form</h1>
    <form action="j_security_check" method="post">
        <div>
            User Name:<input name="j_username"/>
        </div>
        <div>
            Password:<input type="password" name="j_password">
        </div> 
        <div>
            <input type="submit" value="Login"> 
        </div> 

    </form>

</body>
</html>


<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>Login Error</title>
</head>
<body>
Login failed
</body>
</html>
这里写图片描述

客户端证书验证

客户端证书验证是在HTTPS(用SSL加密过的HTTP)上进行的。它要求每一个客户端都要有一个客户端证书 ,这是一个非诚健壮的验证机制,但是不适用于在互联网上部署的应用程序,因为不可能要求每一个互联网都拥有一个数字验证,然而,这种验证方式可以用来访问公司内部网的应用程序。

Lee-Oct
关注
专栏目录
Servlet安全性(1)----验证和授权
AzureL
08-10 650
验证,是验证某个人身份是否属实的过程,一般是通过要求用户输入用户名和密码完成。 授权主要是确定一个用户具有什么样的访问级别,它使用与包含多个访问区域的程序,使用户能够访问程序的某一个部分,但不能访问其他部分。 访问级别一般称为角色。在大多数的Servlet/JSP中,验证和授权都是通过编程的方式来完成的,具体做法是先将用户名和密码与数据库表进行验证。 定义用户和角色在Tomcat中,
Servlet安全问题
qq_28385797的博客
11-28 1790
在之前的博文中我们讲了如何新建和运行一个Servlet,也讲了一般的Servlet的知识点,如通配符映射等。 那么思考下,我们要访问一个写好了的Servlet,单独访问是没有问题的,如果有n个用户同时访问这个网址呢?会出现什么问题? public class ConcurrentTest extends HttpServlet { /** * */ private static fi
Servlet安全(第十三篇)
往前的娘娘
01-30 336
web应用程序是由应用程序开发人员创建的,他们将应用提供,或出售或其他方式转移和部署,以安装到允许陈环境中,应用程序开发人员将安全要求传达给部署人员和部署系统,可以通过应用程序的部署描述符,使用应用程序代码内的声明方式传达此信息,或者通过ServletRegistration接口的setServletSecurity方法以编程方式传达此信息。 本章描述Servlet容器安全性机制和接口,以及用于传达应用程序安全性要求的部署描述符,注解和编程机制 文章目录13.1、简介13.2、声明式安全13.3、程序式.
servlet线程安全性问题理解
u010516923的专栏
01-21 832
Servlet的多线程机制   Servlet体系结构是建立在Java多线程机制之上的,它的生命周期是由Web容器负责的。当客户端第一次请求某个Servlet时,Servlet容器将会根据web.xml配置文件实例化这个Servlet类。当有新的客户端请求该Servlet时,一般不会再实例化该Servlet类,也就是有多个线程在使用这个实例。 servlet 作为一个java的一个实例, 当
Servlet之存在安全隐患的域对象
踩风火轮的乌龟
10-10 1293
我一直不愿意删除我几年前写的blog,这并不是因为我先前写的有多么的好,我只是认为它代表着每一阶段自己的技术水平,就像是一段记忆一样,等到过几年再次看到的时候能回忆起当时很多的事情。但是,随着自己技术水平的提高,我会发现自己先前写的文章(甚至有的不能算是文章,仅仅是几个API的功能)有很多错误的地方,而且一篇文章就能写完的东西却分散在几篇文章中。
java-servlet-连接mysql-数据库.docx
最新发布
06-28
在Java应用中,可以直接加载JDBC驱动并创建数据库连接,但在Servlet环境中,由于安全性和资源管理的原因,连接过程有所不同。 首先,我们需要配置服务器。以Tomcat为例,我们需要编辑`conf/server.xml`文件。在这个...
servlet-2_4-fr-spec-doc.rar_doc_servlet 2.4 spec_servlet api_ser
09-14
2. **Servlet配置**:Servlet可以通过在部署描述符(web.xml)中声明来配置。这包括设置Servlet的类名、URL模式、加载顺序、初始化参数等。例如: ```xml <servlet> <servlet-name>MyServlet</servlet-name> ...
信息办公学校教务管理系统(jsp+servlet+javabean)-school-project
06-15
"信息办公学校教务管理系统(jsp+servlet+javabean)-school-project"是一个全面的教务管理系统,通过结合jsp、servlet和javabean的技术优势,实现了教育机构的日常教务管理工作,并且具有良好的可扩展性和可维护性。...
servlet-upload-download-.rar_servlet download
09-22
此外,为了优化性能和安全性,可以使用流式处理和缓冲技术,避免一次性加载整个文件到内存。 总结来说,Servlet在Java Web开发中扮演着关键角色,尤其在处理文件上传和下载时。通过理解和熟练运用上述技术,开发者...
servlet-api-3.0.zip
09-19
- Servlet 3.0增强了安全性,提供了更细粒度的访问控制,如`@DeclareRoles`注解声明用户角色,以及`<security-constraint>`元素定义安全约束。 7. **URL路径映射**: - 可以使用`@WebServlet`注解的`urlPatterns`...
关于统一处理http请求安全验证遇到media type不同导致处理失败问题
bee-factory
04-26 3414
最近碰到一个需求是要模仿支付宝、微信等平台的API接口。在APP登录时候产生token,后用token等参数设计安全接口验证,但实际过程中发现如果表单和非表单方式是有区别,因为非表单可以用HttpServletRequest.getParameterNames获取post和get的请求参数(queryparam),如果使用multi-part那就没办法使用上述方式,但可以用HttpServletR...
servlet实现验证码登陆功能
远行的博客
06-25 1万+
验证码登陆还是很常用的功能。今天用servelt实现了一下,验证码的实现代码是我综合了网上和学习视频的代码整合而成。先看一下效果图。 测试效果: 使用模板后的效果: 前端的登陆页面如下: <%@ page contentType="text/html;charset=UTF-8" language="java" %> <html> <head> &l...
Servlet笔记——(2.3)Servlet线程安全性问题
椰子真的是只猫
10-13 269
Servlet线程安全性问题 Servlet容器负责调度Servlet并控制它的生命周期,一般情况下,Servlet是单例的!如果你不针对同一个Servlet类,配置多个Servlet名称及其映射的话,它都是单例的(几乎没人这么做!)。 JavaEE应用程序运行在一个多线程的环境中!对于每个从客户端过来的HTTP请求,应用服务器都会有一个对应的线程去处
Jsp与Servlet之使用安全 jsp 开发用户登录、退出、显示当前登录界面
faramita_of_mine的博客
12-03 2380
使用安全 jsp 开发用户登录、退出、显示当前登录界面一、创建项目相关步骤截图二、相关代码展示①index.jsp②login.jsp代码③filter下面的MyFilter代码④listener下面的MyServletContextListener代码⑤servlet下面的IndexServlet代码⑥servlet下面的LoginServlet代码⑦servlet下面的LogoutServlet代码三、测试结果 一、创建项目相关步骤截图 创建jsp文件夹 二、相关代码展示 ①i
面试题,Servlet 线程安全吗?
程序猿踩坑集锦
06-04 2080
Servlet的工作原理:首先客户发送一个请求,Servlet是调用service()方法对请求进行响应的,通过源代码可见,service()方法中对请求的方式进行了匹配,选择调用doGet,doPost等这些方法,然后再进入对应的方法中调用逻辑层的方法,实现对客户的响应。在Servlet接口和GenericServlet中是没doGet,doPost等等这些方法的,HttpServlet中定义了...
学习记录 -- web.xml中security-constraint配置测试
Welcome to IronC's Blog
06-28 1万+
在做web项目时由于想给webRoot下的jsp文件进行安全保护,控制不允许直接对jsp的访问,于是找到了tomcat的安全认证机制,只需要在web.xml中进行一定的配置即可,非常方便。 1.因为使用了SpringMVC,这里先给出SpringMVC配置文件中的视图解析器配置 -->
web.xml中<security-constraint>和四种认证类型
phenix_egg的专栏
11-16 2307
security-constraint> 的子元素 是可选的,如果没有 元素,这表示将禁止所有 HTTP 方法访问相应的资源。  子元素 需要和 相配合使用,但可以被单独使用。如果没有 子元素,这表明任何身份的用户都可以访问相应的资源。也就是说,如果 中没有 子元素的话,配置实际上是不起中用的。如果加入了 子元素,但是其内容为空,这表示所有身份的用户都被禁止访问相应的资源。 
web.xml中security-constraint配置测试
孤城幻夜
10-24 3832
https://blog.csdn.net/tc2015/article/details/51774454
tomcat对于web.xml的security-constraint使用的处理机制
热门推荐
杨军的博客
11-22 3万+
知识点 web.xml中 的子元素 是可选的,如果没有 元素,这表示将禁止所有 HTTP 方法访问相应的资源。 子元素 需要和 相配合使用,但可以被单独使用。如果没有 子元素,这表明任何身份的用户都可以访问相应的资源。也就是说,如果 中没有 子元素的话,配置实际上是不起中用的。如果加入了 子元素,但是其内容为空,这表示所有身份的用户都被禁止访问相应的资源。  问题 对于
JAX-RS 1.0:Java API for RESTful Web Services
例如,结合Java Persistence API (JPA) 可以轻松地处理数据库操作,与Servlet容器协同工作,提供会话管理和安全性。 JAX-RS 1.0的发布标志着Java平台对RESTful服务支持的一个重要里程碑。后续版本,如JAX-RS 2.0...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值